『网络通信』

创新云网络,平安如何玩转SDN?

网络对于“一朵云”来说无疑是极其重要的,它的好与坏成为许多企业用户选型上云的重要参考标准,对于云内部来说,一个好的网络也极大地解放了运维和管理的压力。

平安云于2013年底立项,发展至今已涵盖平安集团90%以上的业务公司、支撑60%的业务系统投产,并具备近10万虚机规模。虽然起步较晚但却有后发优势,平安云从建设之初就引入网络虚拟化,并发展到今天构建了一个值得称赞的SDN(软件定义网络)平台。

平安云SDN缘起

云对网络的最大要求是自动化,平安云网络负责人陈书浩在接受至顶网采访时表示,一是租户网络的自动化,二是网络资源作为云平台基础架构资源的按需调度。“平安云在部署SDN网络之前,VPC、Network的创建都需要人工通过脚本配置,防火墙的安全策略、NAT配置、负载均衡的配置等更是繁杂,生产变通常需要在晚上11点之后才能做,时效相对比较低,无法满足云平台用户的需求。”

平安云网络负责人陈书浩

通过部署SDN,平安云实现了云网络产品的租户自助服务、云网络资源的按需调度,这是SDN给云网络带来的首要作用。此外,与Overlay技术的结合来实现跨三层物理网络的虚拟大二层等等。

平安云SDN践行之路

平安云基于OpenStack的Neutron组件开发了平安的NSP(Network Service Platform)平台,它是平安云所有网络服务的入口,陈书浩介绍了NSP的四大功能:1、网络编排服务VPC、BMS(Bare Metal Server),VPC与传统网络的自动化对接;2、NFV的功能,如VPN、负载均衡、防火墙等;3、网络安全服务,如DDoS、IPS/IDS、WAF等;4、增值服务,如互联网网络健康检查等。

在SDN、VxLan技术的探索、生产实践方面,平安云构建了采用Openflow+SDN Controller技术的主机Overlay网络,并将OVS+iptables结合起来实现DFW功能(东西向的访问控制),进而实现金融行业VPC内不同网络区域同样需要严格安全访问控制的要求。

陈书浩进一步说到,因为物理机的接入需求,平安云也在进行基于EVPN的网络Overlay的POC,今年计划应用于生产环境。

这一系列动作给租户带来的价值十分明显,用户通过云平台快速搭建基础IT环境、应用的自动化部署满足了互联网金融应用/App快速上线、迭代的需求。

SDN方案优劣

从平安云的SDN实践看得出,现阶段主要采用了基于主机的Overlay方案,同时基于网络的Overlay方案也在进行POC。对于这两种业界主流的数据中心SDN方案,陈书浩阐述了优劣势:

·基于主机的Overlay方案:VxLan的卸载封装在KVM、VMware的主机OVS上实现,控制平面采用的是Openflow与SDN Controller对接,通过按需下发流表来完成报文的封装转发。

-优势:

1、将网络延伸到了主机上,易于做更精细的网络管理、控制,如对VM的限速、基于VM的流量镜像、通过流表实现服务链功能

2、更精细、敏感的VM网络监控,更快速感知vport的Up/Down、迁移

3、网络功能的易于迭代,版本升级快捷影响面小,不依赖厂商网络硬件设备的版本升级

-劣势:

基于Openflow+SDN Controller流表转发,不符合传统网工对网络的认识,接受度较低,集中式的控制平面SDN Controller还需要成熟的逃生方案,定位问题时主机、网络侧有交集,界面不够清晰,OVS会占用部分计算资源。

·基于网络的Overlay方案:VxLan的卸载封装由TOR交换机实现,控制平面上也有自学习、Openflow、EVPN多种方式,现在比较火的是EVPN方案,整个控制平面还是由交换机通过路由协议来学习路由、MAC表项,SDN Controller更多承担业务编排配置下发的作用。

-优势:

1、采用分布式的控制平面,由网络设备通过扩展BGP来实现Overlay网络的路由、MAC信息的传递,易于被网工接受

2、对于主机托管、提供物理机服务有天然的优势

3、网络、主机分工界面清晰

-劣势:

功能迭代依赖厂商软件版本,硬件交换机版本的升级周期较长,升级时需要考虑对业务中断的影响(需要完全支持ISSU升级);分布式网关的转发模式对TOR交换机的表项规格是一个挑战。

SDN下的网络运维

实际上,SDN的应用给网络运维带来了新的思维,也带来了新的挑战。SDN的理念促进了网络的按需自动化部署,陈书浩指出,在Trouble Shooting和监控上平安云也有借助SDN的新技术,比如通过SDN Controller、Openflow中的Packet-in/Packet-out消息来构造用户业务报文在整个网络里转发来实现网络健康性检查。

当然SDN技术引入也对网络运维产生了一些新的要求:

新增一些监控对象:比如OVS上内核态、用户态流表的数量、Packet-in到SDN Controller的速率等。

需要具备下面相关内容的Trouble Shooting能力:Rest API调用、Openflow、Netconf、OVS等

据介绍,目前平安云部署了云杉网络的DeepFlow产品,以解决当前面临的SDN网络运维问题,并规划了多个阶段的目标:

第一阶段:以平安云到互联网流量为第一个场景,建立一个网络数据平台,主要作用包括:统计每个公网IP/自定义IP集合的实时流量、异常流量的分析告警,以及记录基于五元组的流量交互信息(基于pcap、cap格式)。

解决问题的效果也十分明显,例如互联网流量的监控,异常流量、超过阈值流量的告警,记录所有互联网流量五元组的交互信息,便于互联网网络丢包故障的排除。

第二阶段:将网络管控粒度延伸到主机及OVS层面,做更精细的网络可视、分析、安全和控制。

陈书浩谈到了部署DeepFlow的总体目标:完善对网络数据的管理,为云平台网络的稳定和安全保驾护航。

未来SDN探索

除了目前的SDN实践以外,平安云也在进行SDN的未来探索和规划,主要包括三个方向:

1、基于容器的NFV(LVS、VPN等)探索和实践,基于Mesos进行二次开发Framework和Excutor,来实现容器的生命周期管理、配置按需下发;

2、通过SDN实现各数据中心DCI流量的智能调度;

3、云网络同region多AZ之间VM端到端的vxlan转发。

平安云希望通过对SDN的一系列应用和探索,实现用户操作的全自动化和NFV网络资源动态的调度和扩展。今年,平安云也会推出公有云,即平安金融行业云,在平安持续推动集团大金融+大医疗生态战略,推出涵盖保险、银行、证券、投资、互联网金融及医疗健康六大领域的全新金融行业云生态的大背景下,平安云正在成为助力金融行业革新的助推器。

罗卓克忙碌的中国行,和他的建设智慧城市“中国梦”

上一篇

回顾2017,“被勒索”的这一年

下一篇

你也可能喜欢

热门标签

微信扫一扫

微信扫一扫